MS06-061: Säkerhetsproblem i Microsoft XML Core Services möjliggör fjärrkörning av kod

Artikelöversättning Artikelöversättning
Artikel-id: 924191 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

INLEDNING

Microsoft har publicerat säkerhetsbulletinen MS06-061 med all relevant information om säkerhetsuppdateringen, däribland filmanifestinformation och distributionsalternativ. Du hittar hela säkerhetsbulletinen på följande Microsoft-webbplatser:

Service Pack-information

Det här problemet korrigerades först i Microsoft Office 2003 Service Pack 3. Lös problemet genom att skaffa den senaste Service Pack-versionen för Office 2003. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
870924 Skaffa den senaste Service Pack-versionen för Office 2003

Kända problem med den här säkerhetsuppdateringen

  • Om flera versioner av Microsoft XML-tolken eller MSXML (Microsoft XML Core Services) är installerade på en dator måste kanske flera paket installeras för den här säkerhetsuppdateringen. Om en version av MSXML installeras efter den här säkerhetsuppdateringen måste kanske ytterligare ett paket installeras för säkerhetsuppdateringen. Om du vill ha mer information om olika MSXML-versioner som är tillgängliga eller som ingår i olika Microsoft-produkter eller programuppdateringar klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    269238 Lista över MSXML-versioner (Microsoft XML-tolk)
  • Efter installation av den ursprungliga versionen av säkerhetsuppdatering 924191 för Windows 2000 Service Pack 4 anges "stoppbiten" för MSXML 2.6-klassidentifierare (Microsoft XML-tolken) felaktigt som 0x00000190 (400) i stället för 0x00000400 (1024). Den 19 oktober 2006 gav Microsoft ut en ny version av den här säkerhetsuppdateringen för att lösa problemet.

    Obs! Den nya säkerhetsuppdateringen som gavs ut den 19 oktober 2006 uppdaterar inte versionsinformationen som visas i Lägg till eller ta bort program på rätt sätt, om du tidigare har installerat den ursprungliga säkerhetsuppdateringen för Windows 2000. Versionsnumret ska uppdateras till 0061014.135844, men visas fortfarande som 20060915.123522. Du kan bortse från problemet. I det här scenariot uppdateras "stoppbiten" på rätt sätt i registret för MSXML 2.6-klassidentifieriare.
  • När du har installerat den här säkerhetsuppdateringen kan du inte använda Microsoft XML-tolken version 2.6 i Microsoft Internet Explorer. Detta är avsiktligt. Säkerhetsuppdateringspaket 924191 anger "stoppbiten" för den här versionen av MSXML. "Stoppbiten" förhindrar att komponenten körs i Internet Explorer.

    Obs! Utvecklare som använder program-ID som är beroende av MSXML 2.6 måste uppdatera dessa så att MSXML 3.0 används.

    Exempelkod där ett program-ID som är beroende av MSXML 2.6 används
    var o = new ActiveXObject("Msxml2.DOMDocument.2.6");
    Uppdaterad exempelkod där ett program-ID som är beroende av MSXML 3.0 används
    var o = new ActiveXObject("Msxml2.DOMDocument.3.0");
    924191-säkerhetsuppdateringspaketen för den här utgåvan anger "stoppbiten" för MSXML 2.6-klassidentifierarna (CLSID-värdena) som anges i följande tabell.
    Dölj tabellenVisa tabellen
    GUIDSymboliskt namn
    f5078f22-c551-11d3-89b9-0000f81fe221CLSID_XMLDocument26
    f5078f1b-c551-11d3-89b9-0000f81fe221CLSID_DOMDocument26
    f5078f1c-c551-11d3-89b9-0000f81fe221CLSID_FreeThreadedDOMDocument26
    f5078f1d-c551-11d3-89b9-0000f81fe221CLSID_XMLSchemaCache26
    f5078f1e-c551-11d3-89b9-0000f81fe221CLSID_XMLHTTP26
    f5078f21-c551-11d3-89b9-0000f81fe221CLSID_XSLTemplate26
    f5078f1f-c551-11d3-89b9-0000f81fe221CLSID_DSOControl26
    f5078f20-c551-11d3-89b9-0000f81fe221CLSID_XMLParser26
    f5078f28-c551-11d3-89b9-0000f81fe221CLSID_Viewer26
    f5078f29-c551-11d3-89b9-0000f81fe221CLSID_BufferedMoniker26
    f5078f26-c551-11d3-89b9-0000f81fe221CLSID_XSLPatternFactory26
  • Säkerhetsuppdateringspaketen 925672 och 925673 för MSXML 4.0 Service Pack 2 (SP2) och MSXML 6.0 är fullständiga installationspaket. Du kan använda paketen för att installera MSXML 4.0 SP2 eller MSXML 6.0 på en dator utan tidigare versioner av MSXML 4.0 eller MSXML 6.0. Du kan även använda paketen för att uppdatera en befintlig installation av MSXML 4.0, MSXML 4.0 SP1 eller MSXML 6.0.
  • Säkerhetsuppdateringarna 925672 och 925673 erbjuds på Windows Update och Microsoft Update endast om en tidigare version av MSXML 4.0 SP2 eller MSXML 6.0 redan är installerad på datorn. Om du inte har någon tidigare version av MSXML 4.0 SP2 eller MSXML 6.0 hämtar och installerar du paketen från Microsoft Download Center.
  • Säkerhetsuppdatering 925672 erbjuds inte på Windows Update och Microsoft Update om MSXML 4.0 eller MSXML 4.0 SP1 är installerat. Om du vill uppdatera MSXML 4.0 eller MSXML 4.0 SP1 använder du någon av följande metoder:
  • Filerna som installeras genom säkerhetsuppdateringspaketen 925672 och 925673 för MSXML 4.0 SP2 och MSXML 6.0 anges i följande tabeller.

    MSXML 6.0 är inte installerat
    Dölj tabellenVisa tabellen
    Filnamn Version Datum Tid Storlek
    Msxml6.dll 6.0.3888.0 1-sep-06 12:081,27 MB
    Msxml6r.dll 6.0.3883.0 19-jul-06 10:55 84,6 kB
    MSXML 6.0 är installerat
    Dölj tabellenVisa tabellen
    Filnamn Version Datum Tid Storlek
    Msxml6.dll 6.0.3888.0 1-sep-06 12:081,27 MB
    MSXML 4.0 är inte installerat
    Dölj tabellenVisa tabellen
    Filnamn Version Datum Tid Storlek
    Msxml4.dll 4.20.9839.0 12-sep-06 5:51 1216 kB
    Msxml4r.dll 4.10.9404.0 12-jul-06 5:49 80,5 kB
    Obs! Den här säkerhetsuppdateringen installeras både i mappen %SystemRoot%\System32 och i sida-vid-sida-mappen.

    MSXML 4.0 är installerat
    Dölj tabellenVisa tabellen
    Filnamn Version Datum Tid Storlek
    Msxml4.dll 4.20.9839.0 12-sep-06 5:5311,18 MB
    Obs! Den här säkerhetsuppdateringen installeras både i mappen %SystemRoot%\System32 och i sida-vid-sida-mappen.
  • När säkerhetsuppdatering 925673 för MSXML 6.0 tas bort, tas MSXML 6.0 bort fullständigt från datorn.
  • Säkerhetsuppdateringspaket 925672 för MSXML 4.0 SP2 stöder inte fullständig borttagning av MSXML 4.0, eftersom den här versionen av MSXML installeras i sida-vid-sida-läge. Undvik problemet så här:
    1. Använd Lägg till eller ta bort program för att ta bort säkerhetsuppdatering 925672.
    2. Ta bort filen MSXML4.dll från mappen %SystemRoot%\System32.
    3. Använd Lägg till eller ta bort program för att reparera MSXML 4.0.
    De tidigare versionerna av filerna Msxml4.dll och Msxml4r.dll återställs till både mappen %SystemRoot%\System32 och sida-vid-sida-mappen.
  • Säkerhetsuppdateringspaketen för MSXML 3.0 uppdaterar bara filen MSXML3.dll. Resursfilerna uppdateras inte för den här versionen.
  • När du har installerat den här säkerhetsuppdateringen fungerar kanske Microsoft Commerce Server 2002 Business Desk-program inte som tidigare. Om du vill veta mer om det här problemet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
    926509 Commerce Server Business Desk-program fungerar inte som tidigare efter att datorn har uppdaterats med de senaste säkerhetsuppdateringarna (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Ytterligare paket för den här säkerhetsuppdateringen

I säkerhetsuppdateringspaketen för den här utgåvan används det här Knowledge Base-artikelnumret (924191) och följande Knowledge Base-artikelnummer.
  • 925673 MS06-061: Säkerhetsuppdatering för Microsoft XML Core Services 6.0
  • 925672 MS06-061: Säkerhetsuppdatering för Microsoft XML Core Services 4.0 SP2
  • 924424 Beskrivning av säkerhetsuppdatering för Office 2003: 10 oktober 2006

Egenskaper

Artikel-id: 924191 - Senaste granskning: den 10 december 2007 - Revision: 6.3
Informationen i denna artikel gäller:
  • Microsoft XML Parser 3.0
  • Microsoft XML Core Services 4.0
  • Microsoft XML Core Services 6.0
  • Microsoft Windows 2000 Advanced Server SP4
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional SP4
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 R2 Datacenter Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Datacenter Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (32-Bit x86)
  • Microsoft Windows Server 2003 R2 Enterprise Edition (64-Bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003 R2 Standard Edition (64-Bit x86)
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Service Pack 1
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Tablet PC Edition Service Pack 2 (SP2)
  • Microsoft Office 2003, All Editions
  • Microsoft BackOffice Small Business Server 2000 Service Pack 1
Nyckelord: 
kbwinserv2003sp2fix kboffice2003presp3fix kbwin2000presp5fix kbwinserv2003presp2fix kbwinxppresp3fix kbexpertisebeginner kbqfe kbsecurity kbsecbulletin kbsecvulnerability kbbug kbfix kbpubtypekc KB924191

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com